Saldırganlar geleneksel AV’den nasıl kaçar ve onları nasıl durdurur?

   Nisan 28, 2023  Posted in MalwareBytes


Kendilerini RAM’de kamufle eden tehditleri bulun.

Kötü amaçlı yazılım hakkında bir şey duyduğunuzda, muhtemelen bir kez açıldıktan sonra kötü amaçlı kod çalıştıran kabataslak yürütülebilir dosyalar veya .DOCX veya .PDF gibi uzantılara sahip dosyalar gelir. bunlar örnekler dosya tabanlı saldırılar – ve kötü olabilseler de, dosyasız kuzenlerine kıyasla bir hiçtirler.

Adından da anlaşılacağı gibi, dosyasız saldırılar işi bitirmek için geleneksel yürütülebilir dosyalara değil, bellek içi yürütmebu da geleneksel güvenlik çözümleri tarafından tespit edilmekten kurtulmalarına yardımcı olur.

Bu gönderide, dosyasız saldırıların nasıl çalıştığı, neden etkili oldukları ve dosyasız tehditleri bulup engellemek için neler yapabileceğiniz gibi konuları keşfedeceğiz.

Dosyasız saldırıların açıklaması

Yükü sabit sürücüde yürüten dosya tabanlı saldırıların aksine, dosyasız saldırılar yükü sabit sürücüde yürütür. Rastgele Erişim Belleği (RAM). Kötü amaçlı kodun sabit sürücü yerine doğrudan belleğe yürütülmesinin aşağıdakiler gibi çeşitli avantajları vardır:

  • Geleneksel güvenlik önlemlerinden kaçınma: Dosyasız saldırılar, virüsten koruma yazılımını ve dosya imzası algılamayı atlayarak, geleneksel güvenlik araçları kullanılarak tespit edilmelerini zorlaştırır.
  • Artan hasar potansiyeli: Dosyasız saldırılar daha gizli bir şekilde çalışabileceğinden ve sistem kaynaklarına daha fazla erişimle çalışabileceğinden, güvenliği ihlal edilmiş bir sistemde dosya tabanlı saldırılara göre daha fazla hasara neden olabilir.

  • Bellek tabanlı saldırıların düzeltilmesi zor olabilir: Dosyasız saldırılar dosya oluşturmadığından, tespit edildikten sonra sistemden kaldırılması daha zor olabilir. Bu, adli tıpın bir saldırıyı kaynağa kadar izlemesini ve sistemi güvenli bir duruma geri yüklemesini ekstra zorlaştırabilir.

Dosyasız saldırılar ile Karada Yaşama (LOTL) saldırıları

LOTL saldırıları hakkındaki makalemizi okursanız, kafanız karışabilir: Dosyasız saldırılar ve LOTL saldırıları aynı şey değil midir? Evet ve hayır.

LOTL saldırıları, bir saldırganın tespitten kaçmak, verileri çalmak ve daha fazlası için yasal araçlardan yararlandığı, dosyasız saldırıların ise yalnızca doğrudan belleğe kod yürütme anlamına geldiği zamandır. Her iki saldırı türü de sıklıkla örtüşse de eşanlamlı değildir.

Dosyasız saldırıları, LOTL saldırılarının ara sıra meydana gelen bir alt kümesi olarak düşünün. Dosyasız saldırılar, yükü belleğe yürütmek için LOTL tekniklerinden yararlanabilir ve sıklıkla yararlanır, ancak bunu meşru bir sistem aracından veya sürecinden yararlanmadan da yapabilirler.

Bir Microsoft Word belgesinden çıkarılan PowerShell betiği. Makrolar etkinleştirilirse, açıldıktan sonra bellekteki kodu yürütür. Kaynak.

Örneğin, bir saldırgan kötü amaçlı bir yükü diske yazmadan doğrudan bellekte indirmek ve yürütmek için PowerShell’i kullanabilir. Bu durumda, saldırı hem LOTL (PowerShell meşru bir araç olduğundan) hem de dosyasızdır (yük bellekte yürütüldüğü için).

Öte yandan, bir web sitesine kötü amaçlı JavaScript enjekte eden bir saldırgan, tarayıcı güvenlik açıklarından yararlanabilir ve bellekte yükler yürütebilir. Bu dosyasız saldırı, kodu sabit sürücüye yazmadan yürütür, ancak meşru bir sistem aracı veya işlemi kullanmadığından LOTL olarak nitelendirilmez.

Dosyasız saldırıların bellekte kod yürütmesinin 5 farklı yolu

Saldırgan, kimlik avı yoluyla veya güvenlik açıklarından yararlanarak erişim elde ettikten sonra, bazıları LOTL teknikleriyle örtüşebilen çeşitli yöntemler kullanarak bellekte kötü amaçlı kod çalıştırabilir.

Dosyasız saldırılarda kullanılan beş yaygın teknik aşağıdadır:

  • Güç kalkanı: Doğrudan bellekte kötü amaçlı kod yürütebilen meşru bir komut dosyası. Daha önce belirtildiği gibi, yerleşik bir sistem aracından yararlandığı için bu teknik LOTL saldırılarıyla örtüşür.
  • Proses boşaltma: İşlem boşaltma, saldırganların askıya alınmış durumda yeni bir işlem oluşturduğu, bellek içeriğini kötü amaçlı kodla değiştirdiği ve ardından işleme devam ettiği dosyasız bir tekniktir. Kötü amaçlı kod, diske yazmadan bellekte yürütülür.
  • Yansıtıcı DLL enjeksiyonu: Bu dosyasız saldırıda, saldırganlar kötü niyetli bir Dinamik Bağlantı Kitaplığı’nı (DLL) meşru bir işlemin belleğine diske yazmadan yükler. DLL doğrudan bellekte çalıştırılır ve geleneksel güvenlik yazılımı tarafından algılanmaz.
  • JavaScript ve VBScript: Dosyasız saldırganlar, bir web tarayıcısında veya bu betik dillerini destekleyen diğer uygulamalarda doğrudan bellekte kötü amaçlı kod çalıştırmak için JavaScript veya VBScript kullanabilir.
  • Microsoft Office makroları: Dosyasız saldırganlar, belge açıldığında bellekte kod yürütmek için Microsoft Office belgelerine katıştırılmış kötü amaçlı makroları kullanabilir. Bu yöntem, aynı zamanda bir LOTL tekniği örneği haline getirerek meşru makro işlevselliğinden yararlanır.

Dosyasız saldırıların, kodlarını yürütmek için genellikle bu örneklerin (Office veya web tarayıcıları gibi) her birindeki sistem bileşenlerindeki güvenlik açıklarından yararlanmaya dayandığını unutmayın.

Dosyasız saldırıları önleme ve tespit etme: Hızlı ipuçları

Önleme Yöntemi Tanım
Yazılım ve sistemleri güncel tutun Dosyasız saldırganlar tarafından yararlanılabilecek güvenlik açıklarını yamalamak için işletim sistemlerinizi, uygulamalarınızı ve güvenlik yazılımınızı düzenli olarak güncelleyin.
Güvenlik günlüklerini düzenli olarak gözden geçirin Beklenmeyen PowerShell kullanımı veya aşırı ağ bağlantıları gibi dosyasız bir saldırıyı gösterebilecek olağandışı etkinlik veya kalıplar için güvenlik günlüklerini inceleyin.
Davranış analitiği kullanın Benzersiz davranış modellerine göre dosyasız saldırıları belirlemek ve engellemek için davranışsal analitiği kullanan gelişmiş tehdit algılama araçlarını kullanın.
Makro kullanımını kısıtla Microsoft Office makrolarının kullanımını devre dışı bırakarak veya yalnızca dijital olarak imzalanmış ve güvenilir makrolara izin vererek sınırlayın.

Malwarebytes EDR ve Exploit Koruması: Dosyasız saldırılara karşı koruma

Malwarebytes Exploit Protection, uygulama davranışını izleyerek ve güçlendirerek, uygulamaları güçlendirerek ve gelişmiş bellek koruması sağlayarak birçok dosyasız saldırıyı etkili bir şekilde engelleyebilir.

Exploit Koruması Gelişmiş ayarlarını yapılandırmak için şu adımları izleyin:

Malwarebytes EDR’deki bir ilkede Koruma ayarlarından yararlanın.

Malwarebytes EDR Exploit Protection tarafından sunulan koruma katmanlarına genel bir bakış:

  • Uygulama Sertleştirme: DEP ve ASLR gibi güvenlik önlemlerini uygulayarak ve Internet Explorer VB Komut Dosyası Oluşturma gibi potansiyel olarak savunmasız bileşenleri devre dışı bırakarak, Uygulama Sertleştirme saldırı yüzeyini azaltır ve dosyasız kötü amaçlı yazılımların uygulamalardaki zayıflıklardan yararlanmasını zorlaştırır.
  • Gelişmiş Bellek Koruması: Bu katman, dosyasız kötü amaçlı yazılımın DEP atlama, bellek yaması ele geçirme ve yığın döndürme gibi teknikleri algılayıp bloke ederek bellekte yük kodu yürütmesini önler ve böylece saldırıyı zarar vermeden önce durdurur.
  • Uygulama Davranışı Koruması: Bu katman ayrıca, Java sandbox kaçışları veya uygulama tasarımını kötüye kullanma istismarları gibi bellek bozulmasına dayanmayan istismarları da algılar ve engeller. Seçenekler arasında Kötü Amaçlı LoadLibrary Koruması, Internet Explorer VB Komut Dosyası Koruması, MessageBox Payload Koruması ve çeşitli Microsoft Office makro istismarlarına karşı koruma yer alır.
  • Java Koruması: Bu ayarlar, Java programlarında yaygın olarak kullanılan istismarlara karşı koruma sağlar. Java Koruması, web tabanlı Java komut yürütme ve Java Meterpreter yükleri gibi Java’ya özgü istismarlara karşı koruma sağlayarak, sistemlere sızmak ve kötü amaçlı kod yürütmek için Java güvenlik açıklarından yararlanan dosyasız saldırıları etkili bir şekilde önleyebilir.

Malwarebytes EDR ile dosyasız tehditlerle mücadele: Nebula’da Şüpheli Etkinlik İzlemeyi Yapılandırma

Malwarebytes Endpoint Detection and Response (EDR), uç noktalardaki potansiyel olarak kötü amaçlı davranışları izleyerek dosyasız kötü amaçlı yazılım tehditlerini algılamak ve azaltmak için etkili bir çözüm sunar. Nebula’daki Şüpheli Etkinlik İzleme özelliği, şüpheli etkinlikleri tespit etmek için makine öğrenimi modellerini ve bulut tabanlı analizi kullanır. Bu bölümde, nasıl yapılandırılacağını ana hatlarıyla açıklayacağız. Şüpheli Etkinlik İzleme Nebula’da.

Politikanızda Şüpheli Etkinlik İzlemeyi etkinleştirmek için:

  • Nebula konsolunuzda oturum açın.
  • Şu yöne rotayı ayarla Yapılandır > İlkeler.
  • Tıklamak “Yeni” veya mevcut bir politikayı seçin.
  • Seç “Uç Nokta Tespiti ve Yanıtı” sekmesi.
  • bulun “Şüpheli Etkinlik İzleme” ve istenen işletim sistemleri için etkinleştirin.

Nebula’da olası bir dosyasız saldırıyı gösteren Şüpheli Etkinlik izleme algılamaları. Sağda, organizasyonumuzdaki bu işlem için komut satırı bağlamını görüyoruz.

Gelişmiş Ayarlar, etkinlik izleme için ek seçenekler sunar. Bu ayarları yapılandırmak için:

  • Aynı “Uç Nokta Tespiti ve Yanıtı” sekmesinde “Gelişmiş Ayarlar” bölüm.
  • Olanak vermek “Şüpheli etkinlik için sunucu işletim sistemi izleme” izlemeyi sunucu işletim sistemlerine genişletmek için.
  • Olanak vermek “Çok agresif algılama modu” şüpheli olarak işaretleme işlemleri için daha sıkı bir eşik uygulamak için.
  • Değiştir “Aramaya dahil etmek için ağ oluşturma olaylarını toplayıng” seçeneğini tercihinize göre AÇIK (varsayılan) veya KAPALI olarak ayarlayın. KAPALI konuma getirmek, buluta gönderilen trafiği azaltır.

Uçuş Kaydedici Arama

Uçuş Kaydedici Arama, arama işlevi içindeki tüm uç nokta olaylarını toplar. Nebula platformu aracılığıyla Malwarebytes EDR’de Şüpheli Etkinlik İzlemeyi yapılandırarak, uç noktadaki süreçleri, kayıt defterini, dosya sistemini ve ağ etkinliğini izleyerek dosyasız kötü amaçlı yazılım tehditlerine etkili bir şekilde karşı koyabilirsiniz.

Dosyasız saldırılara hızlı ve etkili bir şekilde yanıt verin

Yönetilen Tespit ve Yanıt (MDR) hizmetleri, EDR çözümlerini yönetme uzmanlığına sahip olmayan kuruluşlar için cazip bir seçenek sunar. MDR hizmetleri, tehditleri 7/24 izleyip yanıtlayabilen, dosyasız saldırıları hızlı ve etkili bir şekilde algılayıp yanıtlayabilen ve maksimum koruma sağlamak için EDR çözümlerinin sürekli olarak ayarlanmasını ve optimizasyonunu sağlayan deneyimli güvenlik analistlerine erişim sunar.

Dosyasız saldırıları bugün durdurun



Source link